揭秘360安全卫士查杀流氓软件的原理-360文件管理器

以前记得有个软件叫做“木马杀客”，查杀木马的依据就是通过文件名和大小来判断的，而我无意中发现360安全卫士查杀流氓软件更绝，其判断流氓软件的依据仅仅依靠的是文件名！事实胜于雄辩，大家不妨看一下我下面的经历。

某日我中了一个盗号木马，金山毒霸报毒，一个口气删了三个文件：两个DLL文件和explorer.exe。其中Explorer.exe路径是正确的，明明就在C：\windows目录下，看来是这两个DLL注入到Explorer.exe进程中害得Explorer.exe一起被删除了。Explorer.exe被删除的结果当然就是系统重启后桌面没有了，调出任务管理器试图从揭秘360安全卫士查杀流氓软件的原理-360文件管理器ystem32dllcache中找出Explorer.exe复制回windows目录下，却提示无法复制。唯一的解释就是金山毒霸在作怪，后来我把金山毒霸关了后果然复制成功。windows目录不能复制过去，ystem32录总可以了吧！复制过去后并把注册表的HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\中的shell键值指向了c：\windows\system32\explorer.exe，重启后桌面还是没有出现。问题没有解决，无聊之中我乱点，点到了360安全卫士，报告说发现了恶意插件，一看居然是c：\windows\system32\explorer.exe。这个文件明明是从dllcache中复制过去的，使用金山毒霸查杀c：\windows\system32\explorer.exe并没有报毒啊！运行它也没有问题，桌面出来了，系统一切正常。难道是360安全卫士查杀流氓软件依据路径和文件名？开始我不相信，后来我动手做了几个试验，证实确实是如此。

揭秘360安全卫士查杀流氓软件的原理

按照上面的推断，如果文件名和病毒名相同的话并且出现在不该出现的目录中（比如explorer.exe应该只在windows目录下，不过我把它复制到了system32目录中），3609报毒。以前有个落雪病毒不是很嚣张吗？我们“假造”几个落雪病毒来试试360安全卫士。上网搜索得知，落雪病毒会在system32目录下生成dxdiag.com、MSCONNFIG.com、EXERT.exe等文件。我们先来新建一个空的记事本文件，然后依次把文件名改成dxdiag.com、MSCONFIG.com、EXERT.exe，注意这里要把扩展名也改了。由于是空的记事本，大小当然是0，更不会是病毒木马。接着复制到system32目录中，再启动360安全卫士进行查杀，我的猜测果然是对的。

这里360只列出了dxdiag.com这个文件，如果删除掉它，360又会列出MSCONFIG.com等等。到这里我们已经可以充分证明360的查杀依据了：路径和文件名。也许你会说360算什么，换金山清理专家吧！经过我的测试金山清理专家也好不到哪里去。那个spoolsvc我不知道是什么，没有带路径，可是那个所谓的“伪explorer.exe下载者”确实是我复制过去，一点“清除选定选”，我运行的桌面马上就被关闭了，这证明金山清理专家也差不多，好不到哪里去。

揭秘360安全卫士查杀流氓软件的原理